La Commission européenne a récemment publié une feuille de route stratégique intitulée « Feuille de route thématique sur l’open source et contributions sur les principes de confiance communs » (« La voie du logiciel libre vers la souveraineté numérique et la compétitivité de l'Union européenne »), préparée par l'Alliance européenne pour les données industrielles, l'Edge et le Cloud (dont l'auteur de ces lignes fait partie). Ce document de 68 pages propose et détaille un plan d'action visant à positionner le logiciel libre comme un pilier central de la stratégie européenne pour renforcer son autonomie technologique face aux acteurs non-européens.

Le rapport part du constat de la dépendance de l'Europe dans les domaines du cloud, de l'edge et de l'IoT, et propose 70 actions concrètes pour y remédier. Parmi les mesures les plus significatives, on trouve notamment : la mise en place d'une politique d'achat public favorisant systématiquement les solutions libres européennes, la création d'un fonds de financement dédié aux projets critiques, et l'application de standards d'interopérabilité réellement ouverts pour contrer le verrouillage fournisseur (vendor lock-in).

Ce ne sont bien sûr que quelques propositions parmi les 70. Pour plus de détails, cliquez sur « lire la suite ».

Une pétition récemment déposée au Parlement européen propose de développer un système d’exploitation open source, baptisé « EU-Linux », destiné à équiper les administrations publiques des États membres. Selon son auteur, un citoyen autrichien anonyme, cette initiative vise à réduire la dépendance de l’Union européenne aux logiciels propriétaires, notamment ceux de Microsoft, tout en renforçant la souveraineté numérique, la conformité au RGPD et la transparence, et en contribuant au développement durable. Le texte de la pétition souligne également l'importance de promouvoir des solutions open source pour remplacer les logiciels propriétaires dans les tâches quotidiennes des administrations publiques.

Cette initiative, certes modeste, a le mérite de remettre sur la table les enjeux techniques et organisationnels du passage de grandes administrations publiques à Linux. Elle interroge aussi sur la manière dont l’Union européenne pourrait s’engager plus activement en faveur des logiciels libres dans ses infrastructures numériques: Comment garantir, par des choix techniques et de gouvernance, une collaboration efficace entre les institutions, les communautés open source et les acteurs industriels pour assurer la qualité, la pérennité et l’évolution de cette distribution ? Comment surmonter les résistances culturelles et organisationnelles au sein des administrations ?

En s’appuyant sur des précédents comme, par exemple, LiMux en Allemagne ou GendBuntu en France, ce projet offre une opportunité de tirer les leçons des expériences passées. La communauté open source est invitée à participer à ce débat pour proposer des solutions concrètes et faire de cette proposition un catalyseur pour une véritable souveraineté numérique européenne.

La conférence 2024 de l'APELL avait rassemblé l'été dernier à Berlin des acteurs clés du logiciel libre et des décideurs politiques pour échanger sur l'avenir des politiques open source en Europe. Les discussions ont abordé, notamment, les thèmes de la souveraineté numérique, du renforcement de la collaboration entre les pays et de l'adoption de politiques publiques favorisant le logiciel libre. Un compte-rendu détaillé de la conférence (PDF, 33 pages) est à présent disponible.

Les participants ont formulé ou rappelé de nombreuses propositions concrètes pour promouvoir et dynamiser la filière européenne de l'open source. Les participants ont notamment débattu d'initiatives visant à harmoniser les politiques publiques, à soutenir la formation, à plus communiquer sur les réussites. Le rôle central de l'APELL, en tant que voix unifiée de l'open source professionnel en Europe, a été souligné, ainsi que l'importance de créer et de promouvoir standards ouverts et de développer des partenariats transfrontaliers. In fine, les participants ont appelé à une mobilisation collective pour ancrer l'open source au cœur de la stratégie numérique européenne, garantissant résilience et innovation sur le continent.

Lors de leur keynote à l'Open Source Summit 2024, Linus Torvalds et Dirk Hohndel ont échangé sur l’avenir des architectures matérielles libres, en particulier RISC-V. Linus, avec son franc-parler habituel, a partagé ses craintes et ses espoirs concernant l’évolution de RISC-V et le rôle crucial que peuvent jouer les communautés open source pour éviter les erreurs passées, notamment dans le développement des plateformes comme ARM et x86.

Linus estime qu’il existe un risque majeur que RISC-V répète les erreurs commises par les architectures précédentes, comme lorsqu’ARM est devenu une plateforme serveur et a ignoré en partie les leçons apprises lors du développement de l’architecture x86, notamment en matière de sécurité. Cependant, il reconnaît également que grâce à l’expérience accumulée, ces erreurs ont été corrigées plus rapidement. La question cruciale est à présent de savoir si RISC-V saura tirer parti de cette expérience collective pour éviter ces écueils ou s’il devra traverser les mêmes cycles d’apprentissage douloureux.

Le ZenDis (de) vient de publier des propositions sur la souveraineté numérique et le droit des marchés publics en Allemagne.

Le ZenDis (Zentrum Digitale Souveränität - Centre pour la Souveraineté Numérique) est une agence gouvernementale (SARL à capitaux publics) allemande, dont la création avait été annoncée dans une dépêche de 2021 et dont la mission est de « servir d’organe central et de coordination pour la promotion des logiciels libres (OSS) dans l’administration publique ».

Le document « Positionspapier: Digitale Souveränität im Vergaberecht»  met en avant l’importance de renforcer la souveraineté numérique des administrations publiques allemandes face à une situation géopolitique incertaine. Il souligne la volonté politique exprimée dans diverses stratégies et documents officiels depuis 2020, qui prônent l’adoption systématique de standards ouverts et de logiciels open source pour les projets informatiques publics afin de réduire les dépendances aux fournisseurs de technologies propriétaires.

L’utilisation de logiciels open source est présentée comme un levier essentiel pour atteindre cette souveraineté numérique. Les avantages comprennent la flexibilité de changer de fournisseur, la capacité d’adaptation des logiciels aux besoins spécifiques des administrations et une meilleure position de négociation avec les fournisseurs. Toutefois, malgré un cadre juridique favorable, l’open source reste peu utilisé dans la pratique des marchés publics.

Enfin, le texte appelle à utiliser la réforme en cours du droit des marchés publics (Vergabetransformationspaket) pour intégrer de manière plus étendue cette préférence pour l’open source, en s’inspirant d’exemples de législation comme celle de la Thuringe. Le texte met en avant des propositions d’amendements spécifiques au code des marchés publics allemand pour favoriser l’adoption de l’open source, renforcer la souveraineté numérique et réduire les dépendances technologiques au sein des administrations publiques allemandes.

La Commission européenne a publié un avis préliminaire selon lequel Microsoft aurait enfreint les règles antitrust de l’UE en liant Teams à ses suites bureautiques, Office 365 et Microsoft 365, avec pour effet de limiter la concurrence sur le marché des outils de communication et de collaboration.

La Commission a constaté que Microsoft est en position dominante sur le marché mondial des suites bureautiques SaaS pour un usage professionnel. Elle s’inquiète du fait que, depuis au moins avril 2019, Microsoft inclut Teams dans ses suites bureautiques en SaaS, restreignant ainsi la concurrence sur le marché des produits de communication et de collaboration. Cette stratégie empêche les concurrents de Teams de rivaliser efficacement, réduisant ainsi l’innovation au détriment des clients dans l’Espace économique européen.

La Commission juge insuffisants les changements apportés par Microsoft à la distribution de Teams après l’ouverture de l’enquête en juillet 2023. Si ces accusations sont confirmées, elles constitueraient une violation de l’article 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), qui interdit l’abus de position dominante. La Commission pourrait alors interdire ces pratiques et imposer une amende pouvant atteindre 10 % du chiffre d’affaires annuel mondial de l’entreprise, ainsi que des remèdes pour rétablir la concurrence.

Le Conseil National du Logiciel Libre (CNLL) déplore la sous-représentation de la souveraineté numérique dans le débat politique actuel en vue des élections européennes en France. Le CNLL a en effet élaboré et diffusé un questionnaire auprès des principaux partis candidats aux Européennes de juin. Aucun des "grands" partis sollicités à de multiples reprises et par différents canaux n'a donné suite. Cette absence de réponse des grands partis est la marque soit d'un désintérêt, soit d'une absence d'expertise, confirmés pour l'essentiel par l'analyse de Benoît Sibaud dans une dépêche précédente.

Seuls deux "petits" partis, Volt France (leur réponse) et le Parti Pirate (leur réponse), ont répondu à ce questionnaire, en reconnaissant pleinement l'importance de la souveraineté numérique et en proposant des stratégies claires pour intégrer davantage le logiciel libre dans la politique numérique européenne.

En comparaison, tous les grands partis allemands ont répondu à un questionnaire similaire de l'Open Source Business Alliance (OSBA), mettant en lumière le retard préoccupant des partis français en la matière.

Dans ces conditions, le CNLL appelle les électeurs français sensibles aux sujets de la souveraineté numérique européenne et du soutien au logiciel libre à considérer avec attention les listes de ces deux partis lors du scrutin du 9 juin prochain.

NB pratiques: Volt figure sur la liste « Europe Territoires Écologie » (n°31) avec d'autres partis de centre-gauche. Le Parti Pirate (n°10) invite ses électeurs à imprimer leur propre bulletin.

N. D. M. : l'April a aussi extrait les différentes propositions relatives aux sujets de l'association parmi les programmes des 38 listes candidates

Le collectif « Convergences Numériques », qui regroupe dix organisations professionnelles du numérique françaises, dont Numeum et le Cigref (mais pas le CNLL), avait organisé jeudi dernier une soirée pour à la fois présenter un « manifeste » concernant la politique européenne du numérique, et pour auditionner 7 représentants des listes candidates aux élections européennes de juin prochain.

Sur les 10 pages du manifeste, une seule proposition concerne le logiciel libre: « Encourager l’Europe à soutenir l’open source : largement adopté par les entreprises et administrations françaises, l’open source est un atout majeur pour répondre aux défis de l’indépendance technologique et de la transition écologique. » C'est peu, compte-tenu notamment du fait que le logiciel libre représente plus de 10% du chiffre d'affaire annuel de la filière informatique (logiciels et services) en France et un peu moins de 10% en Europe (source: étude Markess 2022 pour le CNLL, Numeum et Systematic), et que la stratégie de la Commission pour l'Open Source s'arrête à 2023.

Lors des auditions, seuls deux candidats ont parlé du logiciel libre, y consacrant chacun l'essentiel de leur temps de parole: Sven Franck, co-tête de liste du parti Volt, et Pierre Beyssac, numéro 2 de la liste du Parti Pirate. Sven Franck a notamment présenté l'intérêt du logiciel libre pour la souveraineté et la compétitivité européennes, et Pierre Beyssac l'importance d'une forme de souveraineté numérique « personnelle » en plus d'une vision plus « étatique » de la souveraineté.

Notons enfin que le CNLL a publié en mars un questionnaire adressés aux partis politiques qui souligne l'importance stratégique du logiciel libre pour la souveraineté numérique, l'innovation et les valeurs démocratiques de l'Europe. Il invite les candidats à partager leur vision et leurs propositions sur un large éventail de sujets liés au logiciel libre, notamment la gouvernance numérique, l'éducation et la formation, le soutien aux PME, l'innovation, les politiques spécifiques et la collaboration. Les questions portent sur des aspects concrets tels que la promotion du logiciel libre dans l'administration publique, l'accès aux marchés pour les PME, les programmes de financement, l'interopérabilité, l'inclusion sociale et la durabilité numérique.

À ce jour, aucune réponse n'a été reçue (malgré de multiples relances), et seuls Volt et le Parti Pirate se sont engagés à répondre. Notons pour finir que des propositions en faveur du logiciel libre sont détaillées dans leurs programmes (cliquez sur "lire la suite" pour en savoir un peu plus).

Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.

La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.

Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.

Le texte final du CRA, projet de directive qui a pour objectif d’améliorer la cybersécurité des produits numériques en Europe, a été adopté par à l’issue du trilogue entre les institutions de l’Union Européenne. Il est probable qu’il sera adopté prochainement lors d’un vote au Parlement européen, et qu’il entrera en vigueur dans environ deux ans. À la clef, des pénalités très fortes pour les entreprises qui ne respecteront pas les critères.

Le texte prévoit que la Commission doit préparer des guides, notamment à l’intention des PME :

La Commission devra élaborer des guides pour aider les opérateurs économiques, en particulier les micro, petites et moyennes entreprises, à appliquer le présent règlement. Ces guides devront porter notamment sur le champ d’application du présent règlement, en particulier la notion de traitement des données à distance et les implications pour les développeurs de logiciels libres, l’application des critères utilisés pour déterminer la période de maintenance des produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres textes législatifs de l’Union et la notion de « modifications substantielles ».

Par ailleurs, l’UE a chargé le CEN/CENELEC d’élaborer des normes de développement de logiciels sécurisés et invite les communautés du logiciel libre à contribuer à ce processus, directement ou indirectement:

(6b) Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte et tient compte des avis des parties prenantes concernées, tels que les autorités compétentes des États membres, le secteur privé, y compris les micro, petites et moyennes entreprises, la communauté des logiciels libres, les associations de consommateurs, le monde universitaire et les agences ou organes de l’Union compétents ou les groupes d’experts établis au niveau de l’Union.

Le consensus des observateurs sur le document final semble être que celui-ci a « patché » les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif. Néanmoins il reste à la fois des problèmes de fond (le texte donne une définition des « logiciels libres et open source » qui se démarque sensiblement des définitions de la FSF et de l’OSI) dont l’impact juridique à long terme n’est pas encore connu, ainsi que toutes les questions pratiques de la mise en œuvre de la directive et des normes associées par les entreprises, avec un surcoût pour les PME qui reste estimé à 30% des coûts de développement.

Le Cyber Resilience Act ou CRA est un sujet qui a déjà été évoqué sur ces pages.

Il s’agit d’un projet de directive qui a pour objectif louable d’améliorer la cybersécurité des produits numériques en Europe. Cependant, c’est un texte “buggé” qui va faire l’objet d’un vote crucial cette semaine, le 19 juillet, au sein du comité ITRE du Parlement européen, et qui pourrait être adopté dans la foulée, sans vote en session plénière, par le Parlement lui-même. Si rien de change d’ici son adoption finale, il aura des conséquences particulièrement lourdes pour les petites et moyennes entreprises (PME) évoluant dans le domaine du logiciel libre, et plus généralement sur la filière du logiciel libre, une composante essentielle de l’économie numérique européenne.

Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?

Nous en discutons de manière plus détaillée dans cette dépêche, qui reprend, en très grande partie, un communiqué du CNLL.

Le 10 juillet 2023, la Commission européenne a adopté une « décision d’adéquation » au sujet du cadre de protection des données de l’Union européenne et des États-Unis. Sur la base de cette décision, les données à caractère personnel peuvent de nouveau circuler librement de l’UE vers les entreprises des États-Unis.

Cette décision est pour le moins controversée. Maximilian Schrems, lors de sa keynote à l’OSXP 2022, l’avait prévue, et annoncé par avance une action à venir auprès de la Cour de justice de l’union européenne (CJEU), qui, espérons-le, aboutira à une nouvelle invalidation, après les arrêts Schrems et Schrems II. Dans un communiqué, NOYB, l’association de Max Schrems, dénonce: « Le prétendu “nouveau” cadre transatlantique de protection des données personnelles est en grande partie une copie du “bouclier de protection des données” qui a échoué. Malgré les efforts de relations publiques de la Commission européenne, la législation américaine et l’approche adoptée par l’UE n’ont guère changé. Le problème fondamental de la loi FISA 702 n’a pas été abordé par les États-Unis, qui considèrent toujours que seuls les ressortissants américains peuvent prétendre à des droits constitutionnels. » (Les différents points juridiques évoqués ici sont clairement expliqués dans la keynote de Max Schrems à l’OSXP, ou détaillés dans le communiqué de NOYB).

Philippe Latombe, député français (MODEM) de Vendée, a posté dans un communiqué rageur: « Si mes espoirs restaient ténus, je dois dire que je ne m’attendais pas à un abandon aussi déshonorant, en rase campagne, des intérêts européens. […] Autant de mises en garde que la Commission européenne, faisant fi des avertissements du Parlement, et donc du Parlement lui-même, a balayées d’un revers de main, se livrant à un troc déshonorant qui peut se résumer ainsi : investissements américains en matériel militaire dans le conflit ukrainien et gaz d’outre-Atlantique, contre les données des Européens. […] Le temps joue en faveur du plus fort. Le capharnaüm juridique ainsi entretenu permet aux multinationales américaines des technologies de l’information et de la communication d’agir comme elles l’entendent, ou presque, de creuser leur avance, déjà considérable, au détriment de l’écosystème européen, et plus généralement de l’économie du vieux continent qui risque de ne pas s’en remettre. »

« Linux » vient d'atteindre, d'après StatsCounter, 3% de part de marché sur les postes de travail.

Il semble que la définition de « Linux » sur ce site n'inclut pas ChromeOS (qui a pourtant un noyau Linux). Si on ajoute ChromeOS qui atteint 4%, on arrive à un total de 7% pour les systèmes à noyau Linux.

Statscounter est, à la base, un outil d'analyse d'audience utilisé par plus d'un million de sites, donc on peut s'attendre à ce que ce chiffre soit relativement fiable, au moins pour ce qui concerne la progression.

« Linux » avait dépassé 1% en avril 2013, et 2% en avril 2019. Autrement dit la progression s'accélère !

La France est en-dessous de la moyenne mondiale, avec seulement 2.7% (NdM: voir le journal mentionnant 4% en 2014). L'Europe est également à 3%. Il y a donc un léger retard français. C'est en Asie, avec 5%, qu'on trouve le meilleur score.

L'Alliance européenne pour les données industrielles, l'informatique en périphérie et en nuage vient de publier la première version de sa feuille de route.

Cette feuille de route offre une vision collective des domaines technologiques et des activités connexes qui nécessitent un investissement stratégique pour permettre le développement et le déploiement conjoints de services en nuage et en périphérie compétitifs, sécurisés, fiables et neutres sur le plan climatique dans toute l'Europe afin de construire le continuum cloud-edge de nouvelle génération. En outre, ce document fournit une description actualisée des principales initiatives, associations, normes et projets open source européens en matière de services en périphérie et d'informatique dématérialisée. Il comprend également une analyse des opportunités et des défis de la souveraineté numérique.

Ce document constitue une refonte complète du document qui avait été publié il y a deux ans par une organisation différente.

Le CRA (Cyber Resilience Act) est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE). Malheureusement le texte actuellement proposé par la Commission et en cours d’examen au Parlement et au Conseil représente une menace existentielle pour la filière européenne du logiciel libre. C’est ce qui a été mis en évidence depuis la publication du texte par les experts de la filière du logiciel libre (cf. références).

Dans un communiqué commun et une lettre ouverte aux eurodéputés et aux représentants du Conseil de l’Union européenne publiés ce jour, les institutions signataires, représentatives de la communauté des logiciels libres, soulèvent les principaux problèmes avec le CRA, notamment que:

• Si le CRA est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe, ce qui aurait pour effet de compromettre les objectifs de l’UE en matière d’innovation, de souveraineté numérique et de prospérité future.
• Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels.
• La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe.
• Il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards d’euros d’impact économique en Europe.